Frauderen vanaf eigen ip-adres met wachtwoord ex-werkgever nekt verdachte
Een man die fraudeerde met de inloggegevens van zijn ex-werkgever en dit deed vanaf zijn eigen ip-adres is veroordeeld tot een taakstraf van honderdvijftig uur. Ook moet hij een immateriële schadevergoeding betalen. Het verweer van de verdachte dat iemand anders zijn wifi-netwerk had gebruikt is volgens de rechter niet onderbouwd.
De man was werkzaam voor een adviesbureau en had in zijn functie toegang tot gebruikersnamen en wachtwoorden. Eind 2019 vertrok hij bij het bedrijf. Vijf maanden later werd geprobeerd om in te loggen op het onlineportaal van de accountant van het adviesbureau. Twee dagen later werd met het account van de ex-werkgever bij VakantieVeilingen.nl een bod uitgebracht op een industrieel wandrek en een bestelling geplaatst voor meerdere wandrekken en kastjes.
Vijf dagen hierna werd geprobeerd om in te loggen op het e-mailadres van de ex-werkgever. Daarna bleef het vijf maanden stil, maar begin oktober werden bij de Grote Clubactie 99 loten gekocht op naam van het slachtoffer en onder vermelding van haar bankrekeningnummer. Bij deze bestellingen en inlogpogingen werd gebruikgemaakt van het ip-adres van de verdachte.
Bij de politie deed de verdachte een beroep op zijn zwijgrecht, maar tegenover de rechter liet hij weten dat veel mensen zijn wifi-wachtwoord weten en veel mensen gebruik kunnen hebben gemaakt van zijn wifi-netwerk. Volgens de rechter kon de verdachte dit niet onderbouwen, waardoor de conclusie dat het de man was die met de inloggegevens van zijn ex-werkgever inlogde juist is.
Geautomatiseerd werk
De advocaat van de verdachte vond dat haar cliënt moest worden vrijgesproken van computervredebreuk, omdat een onlineomgeving en/of account van een website niet kan worden aangemerkt als een geautomatiseerd werk zoals bedoeld in de tenlastelegging. De rechtbank ging hier niet in mee en stelt dat onder een geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.
Hieruit leidt de rechtbank af dat onder een geautomatiseerd werk steeds (een onderdeel van) een fysiek apparaat is begrepen. Dus een computer, server, router, e-reader, chip en dergelijke, maar in elk geval zogenaamde hardware. Het gaat in alle gevallen niet om software, zoals computerprogramma’s of websites. Wel is het zo dat een website, om zijn functie op het internet te kunnen vervullen moet worden gehost op een geautomatiseerd werk (een server), dat met dat internet is verbonden.
"In die zin bestaat er wel een duidelijk functioneel verband tussen een website en een geautomatiseerd werk. De instandhouding van een actieve website vereist dat een geautomatiseerd werk in werking is. Gelet hierop gaat de rechtbank er bij de beoordeling van de zaak vanuit dat activiteiten op een actieve websiteactiviteiten op de achterliggende server impliceren. Dit brengt met zich dat de door verdachte gepoogde handelingen wel degelijk betrekking hadden op een geautomatiseerd werk", aldus de rechter in het vonnis.
Schadevergoeding
De ex-werkgever had een schadevergoeding van bijna 11.000 euro geëist, bestaande uit ruim 8.000 euro materiële schade en 2500 euro immateriële schade. De materiële schade moet de ex-werkgever bij een civiele rechter verhalen. "Verdere behandeling van de vordering levert naar het oordeel van de rechtbank een onevenredige belasting van het strafgeding op", zo oordeelde de rechter. Die ging wel mee in de vordering van immateriële schade, maar dan voor een bedrag van 1250 euro. Het restant zou via een civiele rechter kunnen worden verhaald.
Alleen geld gespendeerd om het spenderen?
Als die bestelde goederen hij hem thuis stonden was het natuurlijk ook appeltje eitje.
Een medewerker had beschikking over gebruikersnamen en wachtwoorden van derde? Dit is fout 1. Vanuit geen enkele functie zou je de beschikking over wachtwoorden van andere gebruikers moeten hebben. Voor admin wachtwoorden zou dit kunnen waar named-accounts niet mogelijk zijn, maar moeten deze uiteraard gewijzigd worden, zodra de persoon die hierover beschikt het bedrijf verlaat.
Vervolgens kan deze ondertussen ex-medewerker, maanden later nog steeds met deze zelfde gebruikersnamen en wachtwoorden inloggen, fout 2. Er is dus geen beleid voor het periodiek wijzigen van wachtwoorden!
Tot slot wordt er klaarblijkelijk geen gebruik gemaakt van MFA, fout 3.
Nu gaat de (ex) werkgever een rechtszaak aanspannen, terwijl deze duidelijk zelf verantwoordelijk zijn voor het creëren van deze situatie, door slecht/geen Securitybeleid.
Ik zou de werkgever in gebreke stellen!
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.